前面我们已经描述过的Duqu2.0实现原理,但是并没有介绍它具有的”可持续性”机制——这可能让用户得出结论:在所有被感染的机器除去恶意软件就像重启那样简单。然而,事情的真相其实更为复杂。
技术剖析
攻击者创建了一个不寻常的持续性模块(他们将其部署在‘已沦陷’的网络服务器上)。它服务一double函数—支持一种C&C通信方案。该organization-level 的持续性是由一驱动程序(被作为一正常的系统服务安装)实现的。在64位系统上,需要严格的Authenticode电子签名。我们已经了解到两种类似的可持续性驱动被部署于该攻击过程中。
在防火墙,网关,或任意其它服务器(在一端直接接入网络,并在其它端接入公共网络)上安装这些恶意驱动程序。通过使用它们,它们可以在某个时刻实现多个目的:访问内部网络基础设施,避开日志记录并保持一种持续存在的形式。
在本质上,驱动重定向网络流量并从网关机(运行它)中进行该操作。为了转发连接,攻击者首先不得不通过使用一种秘密关键字来传递基于网络的“knocking”。到目前为止我们已经从收集的样本中看到两个不同的秘密关键字:“romanian.antihacker” 和“ugly.gorilla”。
我们已在我们的Whitepaper中描述过这些关于Duqu2.0的驱动 (见 “The ”portserv.sys” driver analysis” 部分).接下来回顾一些重要细节。驱动程序监听网络并寻找特殊的秘密关键字(在那个案例中是“romanian.antihacker” )。在那之后,它保存主机(已传递正确秘密关键字)的IP,并开始将所有报文从443端口重定向到那台服务器的445(SMB)或3389(Remote Desktop)。
这方法有效地让攻击者可以打开SMB隧道(远程访问文件系统)并通过网关服务器使用Remote Desktop,虽然它看起来像是HTTPS流量(端口443)。
我们已探索到“romanian.antihacker”驱动所做的另一类似工作,这里使用更一般的方法建立的更多的连接:
1. 如果驱动识别到秘密关键字是“ugly.gorilla1”那么所有来自攻击者的IP流量将从433(HTTPS)被重定向到445(SMB)。
2. 如果驱动识别到秘密关键字是“ugly.gorilla2” 那么所有来自攻击者的IP流量将从433(HTTPS)被重定向到3389 (RDP)。
3. 如果驱动识别到秘密关键字是“ugly.gorilla3” 那么所有来自攻击者的IP流量将从433(HTTPS)被重定向到135 (RPC)。
4. 如果驱动识别到秘密关键字是“ugly.gorilla4” 那么所有来自攻击者的IP流量将从433(HTTPS)被重定向到139 (NETBIOS)。
5. 如果驱动识别到秘密关键字是“ugly.gorilla5” 那么所有来自攻击者的IP流量将从1723 (PPTP)被重定向到445 (SMB)。
6. 如果驱动识别到秘密关键字是“ugly.gorilla6” 那么所有来自攻击者的IP流量将从433(HTTPS)被重定向到47012 (currently unknown)。
我们想指出一个看起来相当可疑的端口:47012。到目前为止,我们并没有看到过任何其他的Duqu2.0组件使用该端口,也没有发现过任意其它的一般恶意软件,后门,或合法软件使用该端口(根据SANS的报告显示)。然而,考虑到该端口号是被硬编码进恶意软件的,这对于Duqu2.0来说可能是一个很棒的指示标记,用该指示标记指出‘被攻陷’的目标。
恶意软件部分带有秘密关键字
该64位驱动含有位于其内部的DLL,名为“termport.sys”,虽然该文件名在文件系统中被称为“portserv.sys”。
这似乎意味着攻击者会因不同的操作而改变文件名并且如果只是检测该攻击也并不能单独依赖于文件名。编译时间戳是伪造的:“Jul 23 18:14:28 2004”。
所有已发现的驱动文件位于“C:\Windows\System32\drivers\”。
也许在该攻击策略中最重要的部分是用于64位驱动的电子签名。因为在64位Windows系统上,强制要求驱动应持有一有效的电子签名。
已标注为“HON HAI PRECISION INDUSTRY CO. LTD.” (即是众所周知的“Foxconn Technology Group”, 世界上最大的电子制造商之一)。
攻击者使用的驱动的电子签名
根据驱动信息可看出它在 2015年2月19日20:31完成签名。以下是由SysInternal的sigcheck 公用程序提供的细节:
Verified: Signed
Signing date: 20:31 19.02.2015
Publisher: HON HAI PRECISION INDUSTRY CO. LTD.
Description: Port Optimizer for Terminal Server
Product: Microsoft Windows Operating System
Prod version: 6.1.7601
File version: 6.1.7601 built by: WinDDK
MachineType: 64-bit
MD5: 92E724291056A5E30ECA038EE637A23F
SHA1: 478C076749BEF74EAF9BED4AF917AEE228620B23
PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
PE256: 2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
SHA256: BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5
根据Wikipedia上的说法, “Foxconn Technology Group”是世界上最大的电子承包商,其总部位于台湾新北市土城区。
Foxconn的主要顾客包括或已包括一些世界上最大的企业:
· Acer Inc.
· Amazon.com
· Apple Inc.
· BlackBerry Ltd.
· Cisco
· Dell
· Google
· Hewlett-Packard
· Huawei
· Microsoft
· Motorola Mobility
· Nintendo
· Nokia
· Sony
· Toshiba
· Xiaomi
· Vizio
富士康制造了多个流行的产品,包括 BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One and Wii U。
在2013年二月,制造商使用同一证书对多数用于Dell laptops的WatchDog Timer Kernel drivers (WDTKernel.sys)进行签名。
总结
之前,在我们对Stuxnet和Duqu的研究期间,已观察到恶意软件(使用Jmicron和Realtek证书)被签名的现象。窃取电子证书并对恶意软件签名似乎是Duqu攻击者惯用的技巧。我们没有确认这些供应商哪些已被受害,但是我们已指出Duqu攻击者感兴趣的是硬件制造商如Foxconn, Realtek和 Jmicron。我们也观察到感染现象与硬件制造商(如APAC,包括ICS和SCADA计算机设备制造商)相关联,这已在2014年/2015年的攻击案例中得到了证实。
除了这些Duqu驱动之外,另一个有趣的现象是我们并没有发现用相同证书签名的任意其他恶意软件。
这排除了证书被泄露的可能性且它已被多个小组使用。看起来似乎指明了Duqu攻击者们只是一个群体(有这些证书的访问权),从而证实了他们黑掉硬件制造商的目的是得到这些证书。
最后,有趣的事是,Duqu攻击者并没有在两次的攻击中使用同一证书。这是我们从2011年和2015年中了解到的关于Duqu的情报。如果确实如此,则意味着攻击者可能从其它制造商中窃取电子证书以在针对下一攻击目标时使用。这将是一个极需要注意的问题,因为该问题可能让我们不再轻易相信电子证书的安全性。
Verisign 和 HON HAI都已报告了关于Duqu2.0恶意软件中使用的证书信息。
IOC
样本MD5 (portserv.sys):
92e724291056a5e30eca038ee637a23f
Duqu攻击者使用的Foxconn证书的序列号:
25 65 41 e2 04 61 90 33 f8 b0 9f 9e b7 c8 8e f8
恶意驱动使用的完整证书凭据:
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–